Mit Anbietern benutzerdefinierter Identitäten arbeiten - AWS Transfer Family
Mehrfache Authentifizierung für benutzerdefinierte Identitätsanbieter

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Mit Anbietern benutzerdefinierter Identitäten arbeiten

Um Ihre Benutzer zu authentifizieren, können Sie Ihren vorhandenen Identitätsanbieter mit AWS Transfer Family verwenden. Sie integrieren Ihren Identitätsanbieter mithilfe einer AWS Lambda Funktion, die Ihre Benutzer authentifiziert und für den Zugriff auf Amazon S3 oder Amazon Elastic File System (AmazonEFS) autorisiert. Details hierzu finden Sie unter Wird AWS Lambda zur Integration Ihres Identitätsanbieters verwendet. In der AWS Transfer Family Management Console können Sie auch auf CloudWatch Diagramme für Messwerte wie die Anzahl der übertragenen Dateien und Byte zugreifen, sodass Sie Dateiübertragungen über ein zentrales Dashboard überwachen können.

Alternativ können Sie eine RESTful Schnittstelle mit einer einzigen Amazon API Gateway-Methode bereitstellen. Transfer Family ruft diese Methode auf, um eine Verbindung zu Ihrem Identitätsanbieter herzustellen, der Ihre Benutzer authentifiziert und für den Zugriff auf Amazon S3 oder Amazon autorisiert. EFS Verwenden Sie diese Option, wenn Sie Ihren Identitätsanbieter integrieren RESTful API möchten oder wenn Sie dessen Funktionen zum Geoblocking oder AWS WAF zur Ratenbegrenzung von Anfragen nutzen möchten. Details hierzu finden Sie unter Verwenden Sie Amazon API Gateway zur Integration Ihres Identitätsanbieters.

In beiden Fällen können Sie einen neuen Server mit der Konsole oder dem AWS Transfer Family CreateServerAPIBetrieb.

Anmerkung

Wir haben einen Workshop, an dem Sie teilnehmen können und in dem Sie eine Dateiübertragungslösung entwickeln können. Diese Lösung nutzt AWS Transfer Family für verwaltete SFTP FTPS Endgeräte und Amazon Cognito und DynamoDB für die Benutzerverwaltung. Die Details zu diesem Workshop finden Sie hier.

AWS Transfer Family bietet die folgenden Optionen für die Arbeit mit benutzerdefinierten Identitätsanbietern.

  • Verwenden Sie AWS Lambda , um Ihren Identitätsanbieter zu verbinden — Sie können einen vorhandenen Identitätsanbieter verwenden, der von einer Lambda-Funktion unterstützt wird. Sie geben den Namen der Lambda-Funktion an. Weitere Informationen finden Sie unter Wird AWS Lambda zur Integration Ihres Identitätsanbieters verwendet.

  • Verwenden Sie Amazon API Gateway, um Ihren Identitätsanbieter zu verbinden — Sie können eine API Gateway-Methode erstellen, die von einer Lambda-Funktion unterstützt wird, um sie als Identitätsanbieter zu verwenden. Sie stellen ein Amazon API Gateway URL und eine Aufrufrolle bereit. Weitere Informationen finden Sie unter Verwenden Sie Amazon API Gateway zur Integration Ihres Identitätsanbieters.

Für beide Optionen können Sie auch angeben, wie Sie sich authentifizieren möchten.

  • Passwort ODER Schlüssel — Benutzer können sich entweder mit ihrem Passwort oder ihrem Schlüssel authentifizieren. Dies ist der Standardwert.

  • Passwort ONLY — Benutzer müssen ihr Passwort eingeben, um eine Verbindung herzustellen.

  • Schlüssel ONLY — Benutzer müssen ihren privaten Schlüssel angeben, um eine Verbindung herzustellen.

  • ANDPasswortschlüssel — Benutzer müssen sowohl ihren privaten Schlüssel als auch ihr Passwort angeben, um eine Verbindung herzustellen. Der Server überprüft zuerst den Schlüssel. Wenn der Schlüssel gültig ist, fordert das System dann zur Eingabe eines Kennworts auf. Wenn der angegebene private Schlüssel nicht mit dem gespeicherten öffentlichen Schlüssel übereinstimmt, schlägt die Authentifizierung fehl.

Verwenden Sie mehrere Authentifizierungsmethoden, um sich bei Ihrem benutzerdefinierten Identitätsanbieter zu authentifizieren

Der Transfer Family Family-Server steuert die AND Logik, wenn Sie mehrere Authentifizierungsmethoden verwenden. Transfer Family behandelt dies als zwei separate Anfragen an Ihren benutzerdefinierten Identitätsanbieter: Ihre Wirkung ist jedoch kombiniert.

Beide Anfragen müssen erfolgreich mit der richtigen Antwort zurückgegeben werden, damit die Authentifizierung abgeschlossen werden kann. Transfer Family setzt voraus, dass die beiden Antworten vollständig sind, d. h. sie enthalten alle erforderlichen Elemente (Rolle, Home-Verzeichnis, Richtlinie und das POSIX Profil, falls Sie Amazon EFS als Speicher verwenden). Transfer Family verlangt außerdem, dass die Passwortantwort keine öffentlichen Schlüssel enthalten darf.

Die Anfrage nach einem öffentlichen Schlüssel muss vom Identitätsanbieter separat beantwortet werden. Dieses Verhalten bleibt unverändert, wenn Password OR Key oder Password AND Key verwendet wird.

DasSSH/SFTP-Protokoll fordert den Software-Client zunächst mit einer Authentifizierung mit einem öffentlichen Schlüssel auf und fordert dann eine Kennwortauthentifizierung an. Dieser Vorgang setzt voraus, dass beide erfolgreich sind, bevor der Benutzer die Authentifizierung abschließen kann.

Themen